Исследователи кибербезопасности выявили критическую уязвимость в системе Subaru Starlink, которая позволяла злоумышленникам получать несанкционированный доступ к автомобилям и отслеживать их перемещения. Проблема затронула транспортные средства в США, Канаде и Японии, причем для компрометации достаточно было знать только номерной знак целевого автомобиля.
Механизм эксплуатации уязвимости
Специалисты по информационной безопасности Сэм Карри и Шубхам Шах обнаружили серьезные недостатки в системе аутентификации корпоративного портала SubaruCS.com. Уязвимость позволяла обойти механизм сброса пароля путем манипуляции с проверкой контрольных вопросов, которая выполнялась на стороне клиента. После компрометации учетной записи сотрудника атакующие получали возможность искать владельцев автомобилей по различным параметрам, включая номерной знак, email и почтовый индекс.
Масштаб и последствия уязвимости
Полученный доступ открывал злоумышленникам возможности для удаленного управления функциями автомобиля, включая разблокировку дверей и запуск двигателя. Особую обеспокоенность вызвал доступ к подробной истории перемещений транспортных средств за длительный период. Система сохраняла точные данные о местоположении автомобиля при каждом запуске двигателя, создавая детальную картину перемещений владельца.
Проблемы конфиденциальности в современном автопроме
Данный инцидент подчеркивает серьезные проблемы с защитой персональных данных в автомобильной индустрии. По данным Mozilla, 92% современных автомобилей не предоставляют владельцам достаточного контроля над собираемыми данными, а 84% производителей оставляют за собой право передавать информацию третьим лицам. Собираемые данные включают не только информацию о местоположении, но и биометрические показатели, данные о состоянии здоровья и другие конфиденциальные сведения.
Subaru оперативно устранила обнаруженные уязвимости в ноябре 2024 года и подтвердила наличие строгих протоколов доступа к данным для сотрудников. Компания подчеркнула, что доступ к информации о местоположении предоставляется только авторизованному персоналу, прошедшему специальное обучение и подписавшему соглашения о конфиденциальности. Тем не менее, этот случай демонстрирует необходимость усиления мер по защите персональных данных владельцев современных автомобилей и повышения прозрачности в вопросах их сбора и использования.
